乐于分享
好东西不私藏

活久见!首款专攻AI分析师的macOS恶意软件:用提示词注入玩转“赛博反间计”

活久见!首款专攻AI分析师的macOS恶意软件:用提示词注入玩转“赛博反间计”

最近网络安全圈出了个颠覆认知的大新闻。

平时咱们做安全防御或者逆向分析,是不是越来越习惯把代码丢给 AI 助手(比如大模型初筛工具),让它帮我们快速生成个分析报告?效率确实飞起,对吧?

但是,黑客已经进化到开始反向 PUA 我们的 AI 助手了!

安全机构 SentinelOne 最近披露了一款被命名为 Gaslight 的全新 macOS 恶意软件。这玩意儿简直是赛博世界里的“老六”,它最恐怖的地方在于:它不和你的安全沙箱硬刚,而是直接给你的 AI 分析师“洗脑”!通过提示词注入(Prompt Injection),让 AI 产生幻觉、自我怀疑,最终直接罢工。

据安全专家高置信度推测,这大概率是出自北韩顶级黑客组织的手笔。今天我就带大家顺藤摸瓜,硬核拆解一下这个用 Rust 写的、专门把 AI 玩弄于股掌之间的恶魔软件!

01 / 降维打击:它是如何把 AI 玩弄于股掌之间的?

咱们先来聊聊它最绝的这个核心高能机制——感知攻击(Perception Attack)

传统的恶意软件为了防分析,无非是检测自己有没有在虚拟机里运行,或者做做代码混淆。但 Gaslight 不一样,它知道现在很多安全团队的第一道防线是 LLM-assisted triage pipeline(大模型辅助初筛流水线)

于是,它在代码里内嵌了一个用 Markdown 语法隔离的数据块,里面整整齐齐地塞了 38 条伪造的“系统错误(system)”消息

💡 黑客的骚操作:当你的自动化安全工具把这个恶意软件的代码喂给大模型时,大模型会顺便读到这些伪造的信息。信息里写满了:

  • Token 凭证已过期
  • 内存溢出(OOM Kill)
  • 磁盘空间耗尽
  • 重复操作失败

更绝的是,它还贴心地给 AI 种下了虚假的警告,比如“检测到静态分析标红”、“存在提示词注入风险”。

结果是什么? 大模型读到这里,直接被带偏了,误以为自己的运行环境崩溃了,或者受到了攻击,于是果断触发保护机制——拒绝分析、强行截断输出,或者直接报错退出。

原本指望 AI 帮我们排雷,结果 AI 被黑客写了几行字就给“劝退”了,这波操作真叫人直呼内行!

02 / 技术扒皮:Gaslight 的硬核 C2 架构

看完了欺骗 AI 的前戏,咱们来看看它的真家伙。Gaslight 的核心架构是用 Rust 语言 编写的,不得不说,现在黑客是越来越偏爱 Rust 的高并发和内存安全性了。

它的 C2(命令与控制)通道 玩得非常溜,直接基于 Telegram Bot API。启动之后,它会进入一个死循环(Polling Loop)进行轮询,等待幕后大佬下达指令。

为了防止“多开”导致露馅,黑客还设计了一个非常严密的防冲突机制:如果同一个 Telegram Bot Token 有两个实例同时在线轮询,C2 就会返回一个 Conflict(冲突)响应,此时第二个副本会自动触发自杀机制(Terminate),可以说是非常谨慎了。

通过这个基于 TG 的交互式 Shell,黑客可以远程对受害者电脑下达 6+1 个核心命令

  • help
    查看命令帮助手册。
  • id
    向控制端上报当前受害主机的身份标识。
  • shell
    最核心的命令,通过底层的 execvp 系统调用直接执行任意 Shell 命令。
  • kill
    根据 PID(进程 ID)强行杀掉目标进程。
  • upload
    利用 Telegram 的 attach:// 机制,把受害者电脑里的隐私文件往外偷。
  • stop
    让恶意软件停止运行。

为什么说是 6+1 呢? 因为安全人员在代码里发现了第 7 个名为 focus 的隐藏命令。虽然目前它的具体功能还没被完全激活,但很可能是黑客留着的后手,用来进行更精准的定向监控。

03 / 完美潜伏与全面“偷家”:重现落地的全过程

接下来是大家最关心的持久化和数据窃密细节。这套工具是如何悄无声息地在 Mac 电脑里扎根并把钱财/隐私洗劫一空的?

1. 瞒天过海的持久化

为了在 Mac 重启后还能继续运行,Gaslight 会在系统的守护进程目录里创建一个 LaunchAgent。它非常狡猾地在 .plist 配置文件中使用了 com.apple.system.services.activity 这个标签。乍一看,你绝对会以为这是苹果官方的某个系统活动服务,直接被它骗过去。

2. “套娃式”落地包

Gaslight 的安装过程非常舍得下本:

  • 它首先通过一个 2 KB 的 Base64 编码 Bash 脚本 进行环境初始化。
  • 这个脚本会秘密下载一个来自开源项目 astral-sh/python-build-standalone 的独立 Python 运行环境(cpython-3.10.18 解释器)。这样一来,就算受害者的 Mac 没装 Python,它也能自己跑代码。
  • 搞笑的是,安全人员发现这个 Bash 安装脚本里充斥着大量的 Emoji 表情和极其规范的注释头——这妥妥的是黑客用 ChatGPT 之类的大模型生成的代码(可以说是用 AI 来对抗 AI 了)。

3. 丧心病狂的 6.6 KB 窃密脚本

环境配好后,正主登场。它会释放出一个 6.6 KB 的 Base64 编码 Python 脚本,这是一个纯粹的“偷家”套路组合拳。它会在你本地疯狂搜刮以下数据:

  • Terminal 终端命令历史
    (说不定里面就有你随手打的明文密码/API Key)
  • 已安装的应用程序列表、当前运行的进程快照
  • 系统的硬件和软件详细配置 Profile
  • macOS Keychain 数据库
    (钥匙串,最致命的一环!)
  • 主流浏览器的数据:Chrome、Brave、Firefox 和 Safari 的浏览记录、Cookie 等。

所有数据到手后,会被原地压缩成一个名为 temp/collected_data.zip 的压缩包,然后通过前面提到的 Telegram attach:// 接口,一记大招直接打包带走。

04 / 顶级的反侦察(OpSec)意识

作为一个高段位的 APT 武器,Gaslight 在反侦察(OpSec)上下足了功夫,有两点非常值得咱们做安全开发的同学借鉴(或者警惕):

第一,绝对不硬编码。软件样本里找不到任何关于 Telegram Bot Token、Chat ID(tg_room_id)等配置信息。这些关键的敏感参数全部是在运行时(Runtime)动态传入的。这意味着你光拿到一个静态样本,根本查不出幕后黑手是谁。

第二,运行时自我擦除(Self-Redacts)。这是最骚的。Gaslight 在运行时如果向终端或系统日志输出日志,它会自动检测并擦除(Redact)自己内存中的 Telegram Bot Token。即使安全人员抓取了崩溃日志(Crash Artifacts)或者实时日志,也休想从里面捞出黑客的 C2 凭证。

💡 总结与思考:当安全遇上 AI,盾该怎么防?

看完 Gaslight 的全套硬核技术路径,我个人的感触非常深。

以前我们总觉得,AI 是安全人员的超级加倍外挂,能帮我们自动化分析海量样本。但黑客用现实给所有人上了一课:当你的防御工作流开始重度依赖 AI 时,AI 本身就成了全新的攻击面(Attack Surface)。

这种“不打沙箱、专打认知”的提示词注入攻击,在未来的恶意软件对抗中绝对会越来越多。这就要求我们以后在构建 AI 自动化逆向工程流水线时,必须对输入源进行严格的过滤和清洗,甚至需要引入多模态、多模型的交叉验证。

你对这种欺骗 AI 的恶意软件怎么看?你觉得未来的 AI 安全助手还能信任吗?欢迎在评论区留言,咱们一起聊聊!

如果你觉得这篇文章对你有启发,别忘了点赞、在看、转发三连走一波,咱们下期硬核技术拆解见!

#macOS恶意软件#Prompt Injection  #提示词注入#Rust黑客工具#AI安全#逆向工程#恶意软件分析#SentinelOne#赛博安全防御